Trucs et astuces: comment créer une substitution d'Application
Resolution
Qu'est-ce qu'un remplacement d'Application?
Application override est l'endroit où le pare-feu de Palo Alto Networks est configuré pour remplacer l'identification d'application normale (App-ID) du trafic spécifique passant par le pare-feu. Dès que la stratégie de remplacement de l'application prend effet, toute autre inspection d'App-ID du trafic est arrêtée et la session est identifiée avec l'application personnalisée.
Exemple d'Utilisation du scénario
Vous pourriez demander pourquoi nous n'aurions jamais besoin de remplacer le processus normal d'identification de l'application. Dans certains cas, les clients construisent leurs propres applications personnalisées pour répondre à des besoins spécifiques propres à l'entreprise. Pour ces applications, il se peut que nous n'ayons pas de signatures pour identifier correctement le comportement attendu et identifier le trafic avec une application connue. Dans de tels cas, nous avons recommandé la création d'une substitution d'applications pour faciliter l'identification et le reporting, et pour éviter toute confusion.
Examinons un scénario typique dans lequel vous pouvez utiliser une stratégie de substitution d'Application. Si, par exemple, vous avez une application personnalisée qui utilise le port TCP 23, mais que le trafic passant par le pare-feu est identifié comme Temenos-T24, et que l'erreur d'identification provoque une confusion au sujet du trafic, une substitution d'application peut être implémentée pour Identifiez correctement le trafic.
Ce dont vous aurez besoin pour l'Installation
Pour configurer une substitution d'Application, accédez à stratégies > substitution de l'Application dans le WebGUI. Pour l'installation, vous aurez besoin des éléments suivants:
- Application personnalisée à utiliser dans la stratégie de remplacement d'Application (recommandé)
- Stratégie de substitution d'Application
- Stratégie de sécurité qui permet à l'Application personnalisée nouvellement créée via le pare-feu
Note spéciale sur le contenu et l'inspection des menaces
La substitution d'Application à une application personnalisée force le pare-feu à ignorer le contenu et l'Inspection des menaces pour le trafic correspondant à la règle de substitution. L' exception à cela est lorsque vous substituez à une application prédéfinie qui prend en charge l'inspection des menaces.
Étapes
Pour configurer une nouvelle application personnalisée pour Telnet, qui utilise le port TCP 23:
- Créez une nouvelle application personnalisée pour le trafic en question. À partir du WebGUI, allez à objets > applications, puis cliquez sur ajouter dans le coin inférieur gauche.
- Name l'application (dans ce cas, autre chose que Telnet, qui est déjà utilisé). L'exemple utilise Telnet_Override comme nom. Sélectionnez également des valeurs pour la catégorie, la sous-catégorie et la technologie.
- Étape facultative: Ceci ajoute juste un autre détail d'ot de couche qui n'est pas toujours nécessaire.
Aller à Advanced > par défaut, et sélectionnez port pour répertorier les ports dans l'application.
L'exemple montre les ports répertoriés dans l'application:
après avoir sélectionné port comme paramètre, cliquez sur Ajouter et insérez le protocole et le port, selon les besoins. Dans cet exemple, nous n'avons pas besoin d'une signature, alors allez-y et cliquez sur OK pour terminer cette application personnalisée. - Pour créer une stratégie de substitution d'Application, accédez à stratégies > substitution d'Application, puis cliquez sur Ajouter:
- Sous l'onglet général, entrez un nom pour la stratégie. L'exemple utilise Telnet_Override.
- Allez à la source et ajoutez la zone source. Spécifiez une adresse source (voir exemple) si la source est une adresse statique; Sinon, partez comme tout.
- Allez à destination, et ajoutez la zone de destination. Spécifiez une adresse de destination (voir exemple) si la destination est une adresse statique; Sinon, partez comme tout.
- Accédez au protocole/application et sélectionnez le protocole, entrez le numéro de port et sélectionnez l'application personnalisée créée.
Utilisation de l'application personnalisée, vérification et test
Créez maintenant une stratégie de sécurité pour autoriser cette nouvelle application via le pare-feu, ou modifiez une règle existante.
- Pour créer une nouvelle règle, accédez à stratégies > sécurité et cliquez sur Ajouter dans la partie inférieure gauche. Créez la stratégie de sécurité pour les zones que le trafic passera à l'Aide de l'application personnalisée. Spécifiez les ports qui seront utilisés dans le service. Toutes les nouvelles sessions seront détectées avec la nouvelle application personnalisée. Autoriser le trafic.
- Maintenant, valider et tester. Le trafic doit utiliser Telnet_Override comme application au lieu de Telnet ou Temenos-T24 comme indiqué précédemment.
- Après avoir commis la stratégie, exécutez la commande suivante via l'interface CLI pour afficher les détails de la session.
> Show session tous les filtres application Telnet_Override
S'Il vous plaît laissez-nous savoir si cela aide, ou si vous avez des commentaires ci-dessous.